куча вирусов

**shmelsmel** · 28.10.2008, 11:59

Здравствуйте , проблемка в том что цепанул вирусов , если хоть раз открыл какую либо программу она больше не открывается . все ярлыки на рабочем столе не работают . мозила не запускается ,опера тоже , експлорер с папки програм файлс запускается .Cureit находит удаляет ,но толку никакого появляются опять ,сначала trojan.proxy.1739,trojan.fakealert, теперь вроде тех нет но появились эти trojan.muldrop.17829,trojan.blackmailer.origin,а еще trojan.beckdoor был конечно ,как без него . С авз вроде разобрался а вот хайджек ваш... немогу создать лог , он создает токо вот блоктон .может из-за того что скачать могу токо инсталятор и он сразу же запускается .4. Распакуйте из архива HiJackThis и поместите в новую отдельную папку. это правило выполнить неудается архива никакого нет,только инсталятор. Вот еще, полчаса думаю как отправить то что только что написал, вижу токо кнопку "предварительный просмотр". Извините наверное не то загрузил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 28.10.2008, 12:33

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 DeleteService('WpdUsb');
 DeleteService('Winnu42');
 DeleteService('Winls64');
 DeleteService('nrnrrvzn');
 QuarantineFile('C:\WINDOWS\system32\drivers\nrnrrvzn.sys','');
 DeleteService('winmgmtseclogonW32Time');
 DeleteService('winmgmtseclogon');
 DeleteService('TermServicedmadmin');
 DeleteService('srserviceSchedule');
 DeleteService('ShellHWDetectionLanmanServer');
 DeleteService('MSDTCRemoteRegistry');
 DeleteService('EventlogSamSs');
 DeleteService('Ati LM Service');
 DeleteService('AppMgmtCOMSysApp');
 DeleteService('ALGRpcLocator');
 QuarantineFile('srv.exe','');
 TerminateProcessByName('c:\windows\system32\brastk.exe');
 QuarantineFile('c:\windows\system32\brastk.exe','');
 DeleteFile('c:\windows\system32\brastk.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\nrnrrvzn.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winls64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnu42.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\wpdusb.sys');
 DeleteFile('atiataxx.dll');
 DeleteFile('karna.dat');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин соглано приложения 3 правил
повторите логи

**shmelsmel** · 28.10.2008, 12:50

карнтин вроде прислал , скажите есть ли он . нащет логов я так понял надо сдлеать все по новому как вначале ? только проблема эьто занимает очень много времени из-за temporery internet files, удалить я их немогу так как в указаной папке их нет . но если на папке нажать свойства то начинает щитать ее обьем и выдает около 100 000 файлов .

**Гриша** · 28.10.2008, 13:35

Удалите мусор с ПК http://virusinfo.info/showthread.php?t=10025 , повторите логи..

**shmelsmel** · 28.10.2008, 14:04

Вот вам новые логи ,еще забыл сказать что при нажати на рабочий стол запускается инсталяха ATI Catalyst Control, при попытке открыть офис тоже запускается инсталяха офиса итд, раньше при попытке открыть некоторые приложения например фотошоп или аську прямиком запускалась antispywareXP или что-то типа того пишу по памяьи так как она исчезла , только винда по прежнему пишет your computer is infected, и хочет чтоб я что-то запутил, о ее и хочет запустить

**Гриша** · 28.10.2008, 14:10

Пофиксить

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - Winlogon Notify: atiataxx - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\brastk.exe');
 DeleteFile('c:\windows\brastk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

**shmelsmel** · 28.10.2008, 14:17

Гриша , 1. Скачать программу HijackThis. и сохранить её на диске в специальной, но ни в коем случае не темп-папке. В противном случае Вы не сможете отменить ошибочно сделанные изменения .*), что значит специальная папка ? или не заморачиватся востанавливать ничео не придется?

**Гриша** · 28.10.2008, 14:22

На рабочий стол положите ее...

**shmelsmel** · 28.10.2008, 14:30

Спасибо так и сделал , профиксил вроде , осталось скрипт пустить но это не проблема ,проблема все так же по адресу C:\Documents and Settings\User\Local Settings\Temporary Internet Files, папка Temporary Internet Files занимает 2,13 Гб, а в ней ничего нет , ваши советы смотрел делал непомогло. Просто жалко времени оно логи делает час , и 50 минут из них тратит на Temporary Internet Files

Добавлено через 3 минуты

сделал , то что комп так резко перегружается после выполнения скрипта ,это так надо?

**Гриша** · 28.10.2008, 14:31

Да...

**shmelsmel** · 28.10.2008, 14:43

во опять , все антивирусы находят в папке Temporary Internet Files папку content IE5, а в ней еще 20 папок . а я немогу их найти и удалить их никак не получается , а я помню что когда-то так делал. ато если удалять через експлорер очистить временные файлы то оно просто зависает навсегда .а оно поубывало те все прграмы которых вроде нет или они потом будут работать ?

**V_Bond** · 28.10.2008, 14:48

раздел форума "чаво" - удаление мусора с компьютера .... вам же написали

**shmelsmel** · 28.10.2008, 15:50

Вот логи еще

**V_Bond** · 28.10.2008, 16:15

выполните скрипт

Код:

begin
 DeleteFile('C:\WINDOWS\system32\_scui.cpl');
 DeleteFile('Ati2evxx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

virusinfo_syscheck.zip повторите

**shmelsmel** · 28.10.2008, 16:44

сделал

**Гриша** · 28.10.2008, 16:46

Чисто, жалобы есть?

**shmelsmel** · 28.10.2008, 17:27

ну красный кружок пропал в трее . Жалобы нет . скорее вопросы: правой мышкой на рабочем столе -запуск установки ATI Catalist control Centre. после чего сразу -Версия компонента instalScript на этом компе более ранняя ,чем трбуется для установки,Установите последнюю версию пакета ISScript.msi или обратитесь в службу поддержки .
2 значки офиса есть но при нажатии включается инсталер и ненаходит файл PRO.msi,
3 Mozzilla- Couldn"t read aplication.ini

Добавлено через 14 минут

Ну так и скажите что мы этим не занимаемся . вроде в папке виндовс cureit ничего не нашол . "V_Bond" и "Гриша"-Большое вам спасибо !!!!!!

Добавлено через 10 минут

Всетаки нет чувства завершонности .
У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.
Єто надо делать после успешного лечения или необязательно ?

**V_Bond** · 28.10.2008, 17:46

этого не делать ... может вы и зловредов назад вернуть хотите ?

куча вирусов (заявка № 32849)

Опции темы